# 1.CSRF攻击
# 在表单中加入csrf_token
# csrf:当我们访问其他服务器时，浏览器会保存cookie信息，但是我们访问病毒页面时，然后浏览器带着cookie，这个病毒
# 网站会在你的网页代码中插入js代码去访问你的娶她服务器操作，但是其他服务器不知道这是伪造的请求

# 如何预防
# 浏览器向服务器发请求，服务器返回给浏览器页面以及表单中的csrftoken，和cookie中的csrftoken
# 服务器检查表单和cookie中的csrftoken是否一致
# 病毒页面无法操作其他页面的cookie

# 2.XSS
# 跨网站脚本
# xss：通过向网页插入代码
# 富文本：将文本不转义，识别html代码
# django中渲染文本时，不要加safe过滤器就会进行转义
# from django.template.defaultfilters import escape
# 入库之前把内容escape(content)给他转
# 如果需要富文本渲染
# 可以限制我们想要的标签，bleach包清理heml标签
# bleach_clean()方法